資安趨勢部落格 – 第 702 頁 – 手機病毒/電腦病毒防禦密技,不只守護網路安全,還提供各種實用3C實用小秘訣,由資安/防毒軟體領導品牌趨勢科技 Trend Micro 每日更新

你的資料在萬物聯網當中安全嗎？

2014 年 11 月 25 日2016 年 01 月 25 日趨勢科技 TrendMicro

當我在討論許多人所稱的「物聯網」(Internet of Things) 時，我喜歡稱它為萬物聯網（IoE ,Internet of Everything）,因為從很多方面來看，物聯網(Internet of Things)一詞並不足以包括一切內涵。萬物聯網強大之處，在於其裝置所蒐集的各種與你、我相關的資料。

業者能看到您在裝置上所做的「一切」

想像一下這類裝置的實際運作情形，它們幾乎都必須和服務業者的中央伺服器連線。這表示業者能看到您在裝置上所做的「一切」。您必須信任這些業者會妥善保管您的資料，並且不會用於不當用途，也不能時間一久就將它們遺忘。

但很不幸的是，您的資料有各種遭到濫用或外洩的可能性。例如，這些裝置本身就可能不安全，任何駭客都能輕易入侵。而這些裝置所採用的模組，很可能來自一些開放原始碼計劃，因此長久下來很可能會被挖掘到一些漏洞，而且廠商很可能並未仔細想過該如何快速而輕鬆地更新這些裝置。此外，中央伺服器本身也可能遭到鎖定目標攻擊而發生駭客入侵和資料外洩的情況。

我們甚至還沒討論到服務業者可能拿您的資料來做些什麼。除非您仔細詳細閱讀過廠商的隱私權政策，否則您很可能並不清楚 IoE 裝置到底會蒐集哪些資料。但這些隱私權政策條文卻艱澀難懂，而且未來很可能隨時更改而不通知消費者。

隱私權政策雖然可以讓我們知道裝置將蒐集哪些資料，但卻不會完全揭露您的資料可能用於何種用途。例如，許多條款會說資料將用於提供其服務，但事實上，這一條廣泛的通則經常成了各種資料使用甚至濫用的法律基礎。

儲存在廠商伺服器上的個人資料，時間越久，對您的風險就越高

那麼使用者該怎麼辦？在購買任何連網裝置之前，您務必確實了解您所提供的任何資料很可能會存放在不安全的伺服器，並且位於其他國家的資料中心當中，而且一放就很久。您儲存在廠商伺服器上的個人資料，時間越久，對您的風險就越高。某些風險還包括資料外洩、資料遭到分享和販賣，以及因為企業出現安全漏洞、企業遭到併購等等事件的一般性資料遺失風險。繼續閱讀

APT 目標攻擊：不要再以為只有大咖會被攻擊

2014 年 11 月 24 日2015 年 04 月 08 日趨勢科技 TrendMicro

花一分鐘想想「APT攻擊/目標攻擊」。

當你想到它們時，你認為誰會是這類攻擊的目標？

也許你會想到大國的政府機構。像是美國國防部。

或許你第一個會想到的是國際金融巨擘，像是JP Morgan。

我敢說你不會想到一間小型或是中型企業會成為這類複雜攻擊的目標。

你應該要想到的。

因為在趨勢科技最新的研究報告 – 「Predator Pain和Limitless攻擊工具」裡，趨勢科技的研究人員秀出那些被磨練和精製以用來對付世界各國政府和國際金融公司的針對性攻擊工具，現在如何被網路犯罪分子用在攻擊中小型企業。

使用相對便宜的現成惡意軟體和公開資訊，攻擊者可以利用相同的魚叉式釣魚技術來將目標瞄準較小、較不複雜也較少防護組織內的人員。

當市場力量讓針對性攻擊變得更加便宜和更加容易進行，網路犯罪分子正在擴大著潛在受害者的數量。攻擊者現在不需要花上百萬美元來讓攻擊成功，以好好地回收投資成本：現在只要花上幾千美元來攻擊許多較小的目標，也能達到一樣的效果。

中小型組織還有其他的弱點。首先是很多都還在用Windows XP，即便微軟已經結束對它的安全支援超過七個月了。隨著日子一天天過去，Windows XP只會變得更脆弱，面對更多攻擊，也成為一個更容易得手的攻擊對象。第二，這類組織通常缺乏專門的內部安全知識或專長。

這次研究要傳遞的訊息是，惡意軟體和戰略的研究進展已經到一定地步，攻擊者可以將針對性攻擊技術加上垃圾郵件和網路釣魚攻擊打包成為工具箱的一部份。

如果你是中小型的企業，你不能指望免於這類型的攻擊。除了要確保員工的安全教育，中小型組織應該要找到結合郵件安全和終端防護的組合方案。如同這項研究所顯示，這些帶來更佳安全性的作法對每個人來說都至關重要，不僅僅是那些典型的大咖組織。

＠原文出處：Targeted Attacks: Not just for “too big to fail” any more

< 影片 > 五分之一的人發表過自己會感到後悔的貼文

2014 年 11 月 21 日2014 年 11 月 20 日趨勢科技 TrendMicro

不要有社群遺憾 – 保持對話隱私

你是否有過在社群媒體上進行自己以為私密的對話，結果卻發現每個人都可以看到？你並非唯一的一個。

根據最近趨勢科技針對社群媒體使用者進行的隱私調查，有五分之一的人發表過自己之後感到後悔的東西。不幸的是，很多使用社群媒體的人並不了解自己的隱私設定，結果讓自以為私密的交流變成公開的對話。

很容易就可以知道為什麼會這樣。社群媒體平台經常會更新網頁設計和隱私權限，有時這意味著你的隱私設定也需要隨之更新。私人訊息不用傷腦筋，但如果你是發表留言，那你所分享的對象可能比自己所想像的還要多。這也是隱私權掃描可以派上用場的地方，它可以幫你找出並解決任何你在更新隱私設定時可能遺漏的安全漏洞。

趨勢科技趨勢科技PC-cillin 2015雲端版會掃描你的Facebook及其他社群網站的個人檔案，找出可能造成你過度分享、破壞自己名譽或遭遇身份資訊竊賊等風險的隱私設定。

別讓自己因為在社群媒體上分享而陷入尷尬的局面。Mark沒有用我們的軟體來確保他的談話保持私密 – 看看結果他發生了什麼事。

注意！來看看趨勢科技的「不要成為這傢伙」系列影片。

Mark沒有聽從我們的忠告。看看他發生了什麼事。

＠原文出處：Don’t Have Social Media Regret – Keep Conversations Private作者：Shannon McCarty-Caplan （趨勢科技消費者安全宣導者）

PC-cillin 2014雲端版跨平台同時支援Win、Mac及Android手機與平

先有雞還是先有蛋？應用程式開發與安全

2014 年 11 月 20 日2014 年 11 月 04 日趨勢科技 TrendMicro

在以前，2013年被認為是「資料外洩的一年」。這或許是大錯特錯。2014年到目前為止，僅僅在美國，有紀錄的外洩事件就有 600 起。這是個全球性的問題，需要更多的投資和能見度。近期所披露的 JP 摩根和可能的其他幾個美國銀行網路防禦被攻破的確十分驚人。

許多焦點都放在攻擊者身上：他們來自哪個國家，攻擊背後有什麼動機。是國家行動、金錢導向還是駭客主義者？有內賊或承包商疏忽嗎？是中國還是俄羅斯？這些攻擊以前所未有的程度發生。大多數入侵滲透發生在沒有被適當修補的使用者電腦或伺服器。這本質上是因為應用程式開發時，在設計和程式碼裡少了一些必要的安全性考量。臭蟲被創造，發現，隨後被用在攻擊上以進入你家或是工作的組織。應用程式是個閘道。單靠網路安全不能保護你免於別人攻擊你的應用程式。

我們從行動電話或網頁所體驗到的迷人功能大多數來自於巧妙設計和開發的應用程式。這改善了我們在個人和工作中的動作和互動的方式。然而，如果做得不好，應用程式也會提供單一的最大攻擊面來讓惡意份子進入我們的住家和組織，讓他們有辦法去找尋、攻擊和掠奪我們的無價珍寶和關鍵資料。

在過去十年間，我們看到平台有著很大的變化。這些動態的生態系包含了網路銀行，社群媒體，甚至很快就會加入無人自動車。美國有四個州（加州、佛羅里達州、密西根州和內華達州）已經開始進入法律作業來讓像通用汽車、Google和Tesla等公司開始將這些神奇的技術帶到街上。繼續閱讀

變更密碼和移除惡意軟體並不足以化解 APT 目標攻擊

2014 年 11 月 19 日2014 年 11 月 19 日趨勢科技 TrendMicro

說到APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊，攻擊者並非無所不知。他們需要在早期階段收集資料來了解目標，他們會從各種情報來源收集資料，像是Google、Whois、Twitter和Facebook。他們可能會收集電子郵件地址、IP位址範圍和連絡人列表等資料。然後將其來製造釣魚郵件的誘餌，最終可以讓他們滲透入目標組織的網路。

一旦進入，攻擊者會開始橫向移動階段。在此階段，攻擊者會進行端口掃描、服務掃描、網路拓撲映射、密碼嗅探、鍵盤記錄和安全政策滲透測試。目標是找到更加機密的資料以及更加隱密的存取方式。

橫向移動讓攻擊者可以取得對自己有利的資料。他們現在知道了有哪些安全弱點、防火牆規則設定缺陷和錯誤的安全設備部署。他們現在也擁有了最新的網路拓撲、密碼設定和安全性政策。繼續閱讀